Creación de una clave

Prerrequisitos

La cuenta tiene KMS CMKFullAccess o permisos superiores.

Restricciones

• Puede crear hasta 20 claves personalizadas, excluidas las claves predeterminadas. Las claves de réplica ocupan la cuota de claves personalizadas en la región.
• Las claves simétricas se crean utilizando la clave AES. La clave AES-256 se puede utilizar para cifrar y descifrar una pequeña cantidad de datos o claves de datos. La clave HMAC se utiliza para generar y verificar códigos de autenticación de mensajes.
• Las claves asimétricas se crean utilizando algoritmos RSA o ECC. Las claves RSA se pueden utilizar para encriptación, desencriptación, la firma digital y la verificación de firmas. Las claves ECC solo se pueden utilizar para la firma digital y la verificación de firmas.
• Los alias de las claves predeterminadas terminan con /default. Al elegir alias para las claves personalizadas, no utilice alias que terminen con /default.
• Las claves DEW se pueden invocar a través de API para 20,000 veces de forma gratuita al mes.

Escenarios

• Cifrar datos en OBS
• Cifrar datos en EVS
• Cifrar datos en IMS
• Cifrar una instancia de base de datos de RDS
• Utilice claves personalizadas para cifrar y descifrar directamente pequeños volúmenes de datos.
• Encriptación y desencriptación de DEK para aplicaciones de usuario
• Generación y verificación de código de autenticación de mensajes
• Las claves asimétricas se pueden utilizar para firmas digitales y verificación de firmas.

Creación de una clave

1. Inicie sesión en la consola de gestión.
2. Haga clic en en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
3. Haga clic en . Elija Security & Compliance > Data Encryption Workshop.
4. Haga clic en Create Bucket en la esquina superior derecha.
5. Configure los parámetros en el cuadro de diálogo Create Key.
   Figura 1 Creación de una clave
   
   • Alias es el alias de la clave que se va a crear.
     

     • Puede introducir dígitos, letras, guiones bajos (_), guiones, dos puntos (:), y barras diagonales (/).
     • Puede introducir hasta 255 caracteres.
   • Key Algorithm: Seleccione un algoritmo de clave. Para obtener más información, consulte Tabla 1.

     Tabla 1 Algoritmos de clave soportados por KMS

     Tipo de clave	Tipo de algoritmo	Especificaciones de clave	Descripción	Uso
     Clave simétrica	AES	AES_256	Clave simétrica de AES	Cifra y descifra una pequeña cantidad de datos o claves de datos.
     Clave simétrica	AES	HMAC_256 HMAC_384 HMAC_512	Clave simétrica de HMAC	Genera y verifica un código de autenticación de mensaje
     Clave simétrica	SM3	HMAC_SM3	Clave simétrica de SM3	Genera y verifica un código de autenticación de mensaje
     Clave asimétrica	RSA	RSA_2048 RSA_3072 RSA_4096	Contraseña asimétrica de RSA	Cifra y descifra una pequeña cantidad de datos o crea firmas digitales.
     	ECC	EC_P256 EC_P384	Curva elíptica recomendada por NIST	Firma digital

   • Usage: Seleccione SIGN_VERIFY, ENCRYPT_DECRYPT o GENERATE_VERIFY_MAC.
     • Para una clave simétrica AES_256, el valor predeterminado es ENCRYPT_DECRYPT.
     • Para una clave simétrica HMAC, el valor por defecto es GENERATE_VERIFY_MAC.
     • Para claves asimétricas RSA, seleccione ENCRYPT_DECRYPT o SIGN_VERIFY. El valor predeterminado es SIGN_VERIFY.
     • Para una clave asimétrica ECC, el valor predeterminado es SIGN_VERIFY.
     

     El uso de la clave solo se puede configurar durante la creación de la clave y no se puede modificar posteriormente.

   • (Opcional) Description es la descripción de la clave personalizada.
   • El parámetro Enterprise Project debe establecerse solo para usuarios empresariales.

     Si es un usuario de empresa y ha creado un proyecto de empresa, seleccione el proyecto de empresa necesario en la lista desplegable. El proyecto predeterminado es default.

     Si no se muestran opciones de Enterprise Management, no es necesario configurarlas.

     

     • Puede usar proyectos empresariales para gestionar recursos en la nube y miembros del proyecto. Para obtener más información sobre proyectos empresariales, consulte ¿Qué es Enterprise Project Management Service?
     • Para obtener más información acerca de cómo habilitar la función de proyecto de empresa, consulte Habilitación de Centro de empresa.

6. (Opcional) Agregue etiquetas a la clave personalizada según sea necesario e introduzca la clave de etiqueta y el valor de etiqueta.
   

   • Después de crear un CMK, puede hacer clic en el alias del CMK para ir a la página de detalles del CMK y agregar una etiqueta al CMK.
   • La misma etiqueta (incluidas clave de etiqueta y valor de etiqueta) se puede utilizar para diferentes claves personalizadas. Sin embargo, bajo la misma clave personalizada, una clave de etiqueta puede tener solo un valor de etiqueta.
   • Se puede agregar un máximo de 20 etiquetas para una clave personalizada.
   • Si desea eliminar una etiqueta de la lista de etiquetas al agregar varias etiquetas, puede hacer clic en Delete en la fila donde se encuentra la etiqueta que se va a agregar para eliminarla.

7. Haga clic en OK. Aparece un mensaje en la esquina superior derecha de la página, indicando que la clave se ha creado correctamente.

   En la lista de claves, puede ver la clave creada. El estado predeterminado de una clave es Enabled.

Operaciones relacionadas

• Para obtener más información sobre cómo cargar objetos con encriptación del lado del servidor, consulte la sección "Cargar un archivo con encriptación del lado del servidor" en Guía de usuario de Object Storage Service.
• Para obtener más información sobre cómo cifrar datos en discos EVS, consulte la sección Compra de un disco EVS en la Guía del usuario de Elastic Volume Service.
• Para obtener más información acerca de cómo cifrar imágenes privadas, consulte la sección Guía de usuario de Image Management Service.
• Para obtener detalles acerca de cómo cifrar discos para una instancia de base de datos en RDS, consulte la sección "Compra de una instancia" en la Guía de usuario de Relational Database Service.
• Para obtener más información sobre cómo crear un DEK y un DEK sin texto plano, consulte las secciones "Creación de un DEK" y "Creación de un DEK sin texto plano" en la Referencia de API de Data Encryption Workshop.
• Para obtener detalles sobre cómo cifrar y descifrar un DEK para una aplicación de usuario, consulte las secciones "Encriptación de un DEK" y "Desencriptación de un DEK" en la Referencia de API de Data Encryption Workshop.